Услуги - Операторам связи - BGP FlowSpec

BGP FlowSpec

РАСКОМ предоставляет своим клиентам комплекс инструментов по защите их сетей от различных атак и их последствий. Решение базируется на использовании расширения протокола BGP FlowSpec и позволяет клиенту существенно снизить вредоносное действие атаки на свою сеть. В дополнение к этому клиенту предоставляется комплекс услуг по блокировке нежелательного трафика на сети РАСКОМ для предотвращения распространения его на сеть Клиента: блэкхолинг (BGP-blackhole community), настройка фильтрации трафика на интерфейсе абонента по запросу, личный кабинет для самостоятельного управления правилами фильтрации FlowSpec, подключение к BGP FlowSpec контроллеру для фильтрации в автоматическом режиме, статистика работы правил FlowSpec.


Техническая реализация

На сети РАСКОМ полностью внедрен в качестве дополнительной меры защиты от атак протокол BGP FlowSpec (RFC5575), что позволяет отсечь трафик тех протоколов и/или типов пакетов, которые не используются в сети клиента и которые используются в атаке DDoS.

Фильтрация трафика атаки осуществляется на уровне канальной и аппаратной мощности магистральной сети РАСКОМ, непосредственно на всех наших магистральных маршрутизаторах. Указанный трафик в правилах, пересылаемых по BGP FlowSpec, либо уничтожается, либо ограничивается по полосе (rate-limit). Остальной трафик (не указанный в правилах BGP FlowSpec) проходит без изменений.


Личный кабинет клиента

Для выставления правил фильтрации клиенту предоставляется WEB-интерфейс в своем личном кабинете тем клиентам, у которых нет возможности отправлять правила по протоколу BGP FlowSpec из своей сети, а так же если их сеть не использует BGP маршрутизацию.

В кабиненте доступна также статистика использования правил фильтрации, по которой можно оценить эффективность мероприятий по защите.


BGP blackhole

В качестве дополнительной меры борьбы с атакой используется также и стандартный механизм - BGP blackhole community. Механизм BGP-Blackhole (Destination-based RTBH) реализован c помощью bgp-community для префиксов /32. То есть при обнаружении вредного трафика (атаки) на определенный хост (IP-адрес) в сети клиента, возможно проанонсировать по BGP в РАСКОМ префикс этого хоста (/32) со специальным blackhole-community 20764:6666 и трафик на указанный хост будет уничтожен на границе сети РАСКОМ всеми магистральными роутерами.


Техническая Поддержка услуги и установка ACL

Осуществляется по письму в ЦУС РАСКОМ на noc@rascom.ru (телефон +7-812-702-2500). Возможна установка фильтра (ACL) по src/dst ip/proto/port на интерфейс подключения.